「X-XSS-Protection」ヘッダーがありません
info Web App Scanning プラグイン ID 112526
Language:
概要
「X-XSS-Protection」ヘッダーがありません説明
HTTP の「X-XSS-Protection」応答ヘッダーは、最新のブラウザの機能であり、Web サイトが XSS 監査をコントロールできるようにします。サーバーが「X-XSS-Protection」ヘッダーを返すように構成されていません。これは、この Web サイトの任意のページがクロスサイトスクリプティング (XSS) 攻撃のリスクにさらされている可能性があることを意味します。この URL は、具体例としてフラグが付けられています。
レガシーブラウザのサポートが必要ない場合は、安全でないインラインスクリプトを許可せずに Content-Security-Policy を使用することをお勧めします。
ソリューション
すべてのページに「1; mode=block」の値を持つ「X-XSS-Protection」ヘッダーを含めるように Web サーバーを構成します。参考資料
https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/X-XSS-Protection
https://www.owasp.org/index.php/OWASP_Secure_Headers_Project#xxxsp
プラグインの詳細
深刻度: Info
ID: 112526
タイプ: remote
ファミリー: HTTP Security Header
公開日: 2018/11/27
更新日: 2024/3/25
スキャン テンプレート: basic, config_audit, full, overview, pci, quick, scan